原创2024-04-15小艾老师

CISSP信息安全专家认证知识体系考证须知证书含金量培训大纲 3分钟小视频我要提问

CISSP认证是信息安全领域的权威认证，由国际信息系统安全认证协会(ISC)2提供。它评估个人在信息安全领域的知识和技能，包括安全管理、安全架构、安全工程、安全运营等方面。获得CISSP认证可以证明持证人具备专业的信息安全知识和能力。

中文名CISSP信息安全专家认证
英文名Certified Information Security Systems Professional
英文简称CISSP
颁证机构(ISC)2（国际信息系统安全认证协会）
证书类别信息安全
同类认证CISM、CRISC、CISA

现在，咱们的工作和生活越来越离不开互联网了。虽然能享受网络带来的各种便利，但咱们也在网上留下了大量个人信息和私密数据。比如说，用手机上的APP吧，几乎都会要求填个人信息，或者收集微信、微博账号之类的。再比如说，网买点东西，个人信息可能就留存在电商企业、快递公司的系统里了。要是这些互联网平台不能保护好个人信息，那大规模的信息泄露就很难避免了。

所以说，信息安全工作，真的非常重要！信息安全工作，要说复杂吧，确实挺复杂；要说简单吧，也简单，其实就两件事：防“黑客”，还有防“内鬼”（涵盖了80%以上）。

下面，小艾老师就来跟大家具体聊一下。

01

先说说黑客吧，黑客到底是什么样的一群人呢？在电影里，他们总是扮演着带着一副面具、穿着黑色连帽衫，坐在隐蔽的角落里敲击键盘，然后屏幕上快速滚动着一串串的代码、一串串的神秘符号……然后快速进入系统获取数据信息，或者获得很多设备的掌控权，让它们为你工作，简直就是“神”一样的存在。

那在现实生活里，黑客究竟是怎样的存在呢？

黑客是指具有高超技术能力的计算机专家，他们能够以非常独特的方式进入计算机系统，发现其中的漏洞，然后突破计算机系统或网络的安全措施，来达到他们的目的。

黑客通常是为了恶意目的，当然也有一些白帽黑客，会以负责任的方式使用其技能来发现和修复系统漏洞，帮助保护计算机系统和网络。

我们接触黑客，防止黑客攻击，这就需要具备厉害的安全技术。得掌握加密、认证、防火墙、备份恢复、漏洞管理、网络监控等等传统技术，还得跟上时代，学习很多日新月异的新技术并掌握其原理。

我们需要学习很多的知识，比如：

计算机网络基础：了解计算机网络的基本原理、协议和架构，包括IP地址、子网掩码、路由等相关知识。
操作系统和编程：熟悉常见操作系统（如Windows、Linux）的安全特性和配置，并具备一定的编程能力，例如Python、C或者Java等语言。
网络安全原理：学习网络攻击和防御技术的基本概念，包括密码学、身份认证、访问控制、漏洞分析等。
系统安全：了解操作系统的安全机制、安全策略和系统漏洞的利用与修复方法，学习应用程序开发中的常见安全问题。
数据库安全：掌握数据库的安全管理和保护技术，包括数据加密、权限控制、漏洞扫描和数据库审计等。
网络攻防技术：学习黑客攻击的原理和常见手法，并了解相应的防御策略，包括入侵检测与防御、防火墙配置等。
信息安全管理：了解信息安全管理体系、风险评估和合规性要求，包括制定安全策略、培训员工、应急响应等。
逆向工程：学习逆向工程技术，包括恶意软件分析、漏洞挖掘和代码审计等，以便更好地理解攻击者的行为和思路。
网络取证：了解数字取证的基本原理和方法，学习如何收集、分析和保护数字证据，以支持调查和法律诉讼。
社会工程学：研究人类心理学和社交工具的使用，了解社会工程学在网络安全中的作用和防范方法。

这是一个广泛而复杂的领域，想要有所成就，必需耗费大量时间和精力去学习、去实践。当然，也不是完全没有“捷径”，有许多专业证书就可以帮助你快速提升技能和知识，比如CISSP。

02

CISSP全称Certified Information Systems Security Professional，即(ISC)²注册信息系统安全专家，是目前全球范围内_权威、_专业、_系统的信息安全认证。

CISSP 的知识体系框架，我们叫它CBK，它有8个知识域，里面包含的那些议题，跟信息安全领域的所有原理都有关系。这套体系，相当完整，也相当实用。

安全与风险管理（Security and Risk Management）：这个知识域涵盖了建立和维护信息安全管理框架和政策，制定风险管理策略等内容。通过适当的风险评估和管理措施，可以识别和减轻黑客攻击的潜在风险。
资产安全（Asset Security）：这个知识域关注如何保护信息资产，包括敏感数据、设备和系统。了解资产分类和安全控制的原则，可以帮助我们实施适当的技术和物理安全措施来防御黑客的攻击。
安全架构与工程（Security Architecture and Engineering）：这个知识域涵盖了设计安全架构和安全控制的原则和方法。通过构建安全的网络架构、实施访问控制和身份认证等措施，可以有效地防范黑客的入侵。
通信和网络安全（Communication and Network Security）：这个知识域关注保护网络和通信系统的安全。了解网络协议、加密技术和网络设备的安全配置，可以帮助我们预防黑客对网络和通信的攻击。
身份和访问管理（Identity and Access Management）：这个知识域涵盖了身份验证、授权和访问控制的原则和实践。通过实施强大的身份验证和访问控制策略，可以防止未经授权的访问和黑客入侵。
安全评估和测试（Security Assessment and Testing）：这个知识域关注评估和测试安全控制的有效性。通过进行安全评估、漏洞扫描和渗透测试等活动，可以帮助我们发现并修复系统中存在的安全漏洞，从而防范黑客的攻击。
安全操作（Security Operations）：这个知识域涵盖了安全监控、事件响应和取证等方面。通过建立有效的安全监控和事件响应机制，可以及时发现和应对黑客的攻击，并收集相关的取证信息。
软件开发安全（Software Development Security）：这个知识域关注在软件开发生命周期中构建安全的应用程序。通过实施安全的编码实践、进行代码审查和应用程序测试，可以减少黑客利用软件漏洞进行攻击的机会。

03

除了外面的“黑客”，平台内部的“内鬼”也是导致个人信息和数据泄露的一个重要原因。这几年，“内鬼”事件可没少曝光。就说前不久吧，江苏常州警方破了个特大侵犯公民信息的案子，48 个“内鬼”来自银行、卫生、教育、社保、快递、保险、网购、汽修等好多行业。买卖的信息有个人征信、车辆信息、开房住宿、收货地址等好几十种实时信息。

有个银行原信贷部副经理就是“内鬼”，他利用职务便利，把单位信息系统里 3000 多个客户的征信信息，以一条 30 块的价格给卖了，这里面有姓名、身份证号、家庭住址、工作单位啥的。

在信息都往平台聚集的互联网大数据时代，仅仅依靠防黑客技术是远远不够的，我们还需要关注内部的安全风险。平台想要防住自己系统里的“内鬼”，这就需要有安全内控体系和审计监督机制啦！

CISA（信息系统审计师）和CRISC（风险与信息系统控制认证）是两个与内部安全控制相关的重要认证。通过学习CISA和CRISC的内容，我们可以了解企业内部控制的原理和方法，学习如何建立有效的安全策略、风险管理和监督机制，以及如何进行安全审计，发现和纠正内部安全漏洞。

CISA ：注册信息系统审计师，是信息系统审计领域的专业认证。适合信息系统审计师、信息安全专业人员、企业管理层、内部审计人员、咨询顾问和 IT 从业者等对信息系统审计和风险管理有兴趣的人。它的知识体系要点包括信息系统的审计流程、风险评估与管理、信息技术治理、信息系统的安全与控制等。
CRISC：风险与信息系统控制认证。CRISC认证注重信息系统风险管理和控制，适合那些希望在信息安全风险管理领域发展的人士。其知识体系涵盖风险识别、评估与应对，信息系统控制的设计与实施，以及业务连续性管理等方面。

结束语

如果个人信息保护不好，我们每个人可能都会变成透明人，成为受害者。个人信息大规模泄露频发，主要是因为互联网平台企业没尽责，对内对外的防护做得不到位。

所以说，信息安全工作，真的很重要！

如果你想系统地、完整地去学习信息安全领域相关知识和技术，小艾老师推荐大家参加：

1、CISSP信息安全专家认证

2、CISA信息系统审计师认证

3、CRISC风险与信息系统控制认证